直播回顾 | 百家说事第三场：数据安全再探再谈 - 新鲜讯息

为了更好地倡导网络安全“大众点评”理念，关注重点领域和热点品类，聚焦重要结论和争议观点，并让甲乙双方同台探讨视角互补，在《2024中国网络安全产品用户调查报告》发布之际，安在推出了“百家说事”直播秀第一辑活动。针对当期主要话题，邀请甲乙双方安全专家共同参与讨论，通过不同视角的对比和认知，总结多方观点观点以飧读者。

第三场直播主题为《数据安全再探再谈》。特邀诸子云厦门分会会长黄鹏华，owasp广东负责人刘志诚，观安信息战略部技术专家刘德林三位嘉宾出席。

从上至下，由左到右分别为：

张威、刘德林、刘志诚、黄鹏华

围绕数据安全监管、数据安全平台、安全合规、数据资产、AI等话题，嘉宾们展开了深入分析，并探讨了甲方企业该如何做好数据安全治理，该如何选择适合的数据安全产品，以及在AI赋能数据安全治理后会有怎样的变化和趋势。

《2024中国网络安全产品用户调查报告》解读

张威

安在新媒体合伙人

安在新榜报告出品人

数据安全和网络安全之间是相互兼容的关系，其有一部分仍旧属于网络安全范畴，但更多的内容是独立的信息领域。

根据调查报告，即使大环境中经济下行，数据安全产品总体的增长趋势依旧呈现出爆发式的状态，预计到2025年，市场规模可达到478亿元。当下，数据已和土地、劳动力、技术、资本并列为五大生产要素，因此未来或许会形成真正的数据交易市场，将其与房地产规模进行对标，当更多厂商进入数据交易市场后，数据安全的规模或许可达万亿。

数据安全市场主要分为四种类型。第一类是传统的数据保护产品，比如数据库加密、文档管理、DLP等；第二类是数据合法处理产品，比如版权保护、数据脱敏、数据标签/水印等；第三类是数据安全交易与共享产品，比如隐私计算和共享交易平台等；第四类是将以上三类统一集成的数据安全产品，比如数据安全治理平台等。第四类是未来数据安全产品的主要趋势，即以甲方实际需求为主，让各数据安全产品不再割裂。

从当前市场的热度来看，甲方所购买的产品主要集中在“数据合法处理”，其主要分为五类产品：数据分类分级、访问控制、访问加密、数据外发和数据溯源。

其中，观安信息在这五大类产品中的排名较为靠前，并且覆盖全面，贯穿了整个数据安全生命周期。

数据安全体系数智化建设交流

刘德林

观安信息战略部技术专家

数据安全体系建设路径主要分成三个阶段，第一步是逐步接入、初步建立数据安全管控体系，此阶段对于甲方用户来说风险较高，因为所加固的目标只局限于某个点；第二步，当越来越多的大型机构发现，基于传统管控策略的数据防护无法满足甲方需求时，他们开始构建数据安全运营中心，完善数据安全防护与响应体系，以实现快速响应、集中管控、动态优化等能力；第三步，基于观安信息的发现：许多产品告警无法对应到具体的人员，因此也就无法定位到真正的事件。于是第三步需要在数据安全运营中心的基础上，不断增强安全运营水平，融合和提升数据安全服务能力。

刘德林表示，在数据安全管理设计方面，企业需要明确跨部门数据安全职责，因为其涉及到了权限，涉及到了技术防护、技术工具落地时复杂的策略设计。此处的设计失误对后续的异常用数、权责分配、风险监测等都会有巨大的影响。

在数据的整个生命周期里，观安信息可以将相关的工具做成标准化服务。同时，观安信息也设置了基础级、增强级、先进级等能力，便于后续无论是网络安全，还是数据安全，都能逐步形成阶梯式的建设。在增强级方面，观安信息会根据业务环境、生产环境、业务流程、数据流转等，采取具体的加强措施，包括动静态脱敏、数据水印、数据识别等能力。

监测运营方面，观安信息具备独特的核心能力架构，即企业数据安全管控态势分析与策略指挥调度平台，其分为三个方面。首先是企业多源敏感数据的自动化发现与分类分级管理，主要关注的是资产分布、分类分级等。此维度也是观安信息数据安全技防的基础，其发展方向是用大模型解决非结构化的数据分类分级，比如图片、视频等；第二个层面是企业敏感数据的访问与消费安全现状评估、策略建模与维护管理，此维度关注的是人员账号、源地址、权限等所涉及的问题；第三个层面是企业数据安全管控，观安信息在其上有相关专属能力的部署、策略的上传下达、能力的统一调度。

由于许多的金融行业和大数据中心更关注数据安全态势，所以观安信息的整体技术框架会依托数据安全管控平台，针对数据生命周期的各个场景开展数据泄漏风险监测，完善数据安全分散级管控能力，统一展示敏感数据流转和全局风险态势。

在观安信息将分类分级的标准策略导入框架后，其会做到相关资产的识别，基于分类分级的识别，观安信息还设计了分类分级的管控策略。同时，针对水印、DRP、审计等，观安信息一样设计了相关的防护策略，以达到数据全生命周期的管控。此外，观安信息还将重点放在了风险监测领域，比如其具备场景脉络分析和针对敏感操作实时监控的场景审计。

技术框架的底座包含了数据收集、计算分析、能力调用等

观安信息还设计了数据安全专家系统。为解决运营中告警描述不清晰、运营人员技术盲区和问答负担等问题，此系统基于安全大模型，整合智库数据、安全异常事件、全链路回溯数据等方面的信息，能提供7*24小时的在线告警解读、研判等服务。刘德林介绍，此系统的检索效果尤为突出。

观安信息在实时操作监控方面也具备深化的平台建设，可为监控人员提供整体敏感数据操作实时监控情况，其具体包括实时告警情况、异常工单派发处置情况、日志采集情况，以及日志采集趋势和告警趋势情况。刘德林补充，不管是数据出口，还是大数据平台重要接口，只要发生了操作异常，比如调用异常接口等，观安信息都可以进行相关的监测。这种种相关操作检测包含了业务人员登录大数据平台、业务人员登录重要的核心系统、业务人员登录业务系统进行查询或下载数据等行为。

运营方面，观安信息健全了数据安全线上闭环运营流程，落实了运营制度流程，并持续优化数据安全策略。其具体表现为主动防范、监控预警、应急处置、安全自査四大运营工作。刘德林介绍，在整个事件运营过程中，观安信息在主动防范监控、预警、应急处置、安全自查等方面都有不小的升级和良好的实践，能有效解决告警误报等问题，通过运营工作的落实，其还可反哺到观安信息在策略上的修订，以提升告警成功率。

分类分级方面，观安信息结合了大模型、NRP、JOC等能力，针对结构化数据和非结构化数据都起到了有效的识别作用。刘德林介绍，能源、电力等行业的业务数据虽然比较复杂，但观安信息可对其进行分类分级。再比如超限数据的运营，即业务人员在使用完业务数据后，大量的业务数据会被保留在原储存区域，对于这些数据即超限数据的存储和使用，其实会产生巨大的泄露风险，而观安信息对于超限数据的保护也有着自己独特的手段。

关于账号权限，观安信息深化了账号权限管理运营。区别于前几年将重点放在应用账号，观安信息更多的会将在数据权限上进行深化，并将监测出很多基于IP接口的风险回溯到相关的账号和ID，以观察相关员工的具体操作。

关于数据共享的安全防护运营，观安信息除了调用脱敏水印工具外，还会对流程、权限、相关的认证和授权进行相应的管控；在数据导出运营方面，观安信息针对内部运维侧，以及业务侧所有涉敏文档的导出、下载操作，都具备了可识、可管、可审全链路的安全管控。

圆桌讨论

话题一：数据安全监管压力主要体现在哪些方面？数据安全治理需要做到什么程度？

刘志诚：数据安全监管主要体现在两个方面，对权利的保护和对义务的监管。对权利的保护主要体现在公民个人权利、企业对核心数据的拥有权利、国家和社会对数据的支配权利。对义务的监管主要体现在“企业作为数据的处理方，要对个人数据、企业数据、行业数据、国家相关数据遵循相应的义务”，不可在处理数据时给个人或社会带来损害。因此，监管压力主要集中在“对权利和义务的规定”。

数据安全治理首先要做好app的管理；其次是要做好数据安全管理过程的记录，比如相应的职责、规章、策略记录；第三是做好对数据安全事件在应急响应和通知方面的处理。而企业若要从风险治理的角度做好数据安全治理，则还要具备更深入的能力和安全防护。

话题二：企业目前数据安全平台的使用情况如何？

黄鹏华：根据团队的现状、人力和资源，所在企业建设的数据安全平台主要会将一些重点置于其上，比如数据分类分级，我们针对的是结构化数据，其目的是为了知道在业务上到底有哪些数据涉及到了个人信息或重要数据；再比如访问控制，针对重要数据、敏感个人信息等，我们会进行权限的管理，以区分不同员工浏览数据的权限；同时我们还具备了日志审计，就是对重要应用系统或重要数据库的日志进行收集，以便安全事件发生后可以做到相应的溯源；当然，在数据存储方面，我们还会进行去标识化和加密等操作。

企业之所以无法建设出完整的数据安全平台，其原因主要有以下几点：

1、预算；

2、在数据加密存储时，按照相关要求，需要在数据库里做到列级别的加密，因此这就牵扯到了兼容性问题，同时还会涉及到业务代码的改动；

3、对互联网企业而言，使用较多的是云平台，而数据安全平台会涉及到日志审计等内容，因此“怎么把数据库的这些日志下载到本地”成了难点之一；

4、分类分级时，数据安全平台会存在误报问题，因此相应的人员运营能力难以跟上；

5、由于数据安全平台需要长期投入，因此只能先在其上建设有价值、符合监管要求的产品。

话题三：观安信息数据安全平台对数据量使用有无要求？其在哪些场景上有具体的展示？

刘德林：观安信息数据安全平台只从企业实际痛点和需求出发。首先从行业视角来看，比如金融业，工行在前年建设了数据安全技术平台，其功能主要体现在脱敏、水印、分类分级。建行几年前的七大安全组件中就包含了数据安全平台，他们将100多个业务系统中业务的选项性解耦做了SDK，其平台建设也是从痛点出发逐步建设的。

比如三大运营商，移动是从资产梳理开始做起，因为其内部数据规范性要求较高，所以逐步形成了数据安全平台，从事前的管控到始终的操作监控，再到事后的场景审计。

比如能源电力行业，南方电网前两年就建了数据安全平台，南方电网三大商城覆盖了200多个业务系统，这是他们主要的用数环境，所以离不开安全平台的防护。数据安全能力提升的重点在于实用化，因此针对数据中台重要接口、重要操作的安全监测很重要。

再比如全国的大数据中心，他们往往会将各个省委办局的数据都收了，因此他们的数据量巨大，所以会对数据安全的监测、运营等格外关注。

以此得出结论：有特别需求、规模较大的企业需要用到数据安全平台，而中小型企业还是要以技防落地为基础。数据安全平台建设要以痛点为基础，再结合自身实际业务的复杂度做出相应的调整。

关于数据量，观安信息没有特别的要求。以建行为例，其内部很多的数据抽取并非源于日志平台或各个生产系统的日志库，而是从观安信息的安全数据中心，根据检测分析的需要进行的数据抽取。

话题四：哪些数据安全产品是必须的？怎么组合性价比最高？

黄鹏华：首先，对于APP相关的监管问题，企业最有必要的投入是找一家专业的安全厂商，对企业内部的APP做一次全面的合规检查，以显示APP到底存在多少合规问题，比如收集了哪些个人信息，最重要的是，可以通过安全厂商的经验获知相关的监管标准和整体力度。

其次，针对不同规模的安全团队，所采取的数据安全产品组合各有不同。对于小型安全团队来说，数据分类分级、访问控制管理、日志审计、人员运营等是最佳的防护组合，其不仅针对应用系统做出了权限上的收敛，同时对敏感个人信息的权限也有了一定的管控，比起在数据库上的加密存储，以及比起购置安全产品等，明确内部的管理制度和运营能力要有效得多。

话题五：采购数据安全产品时，哪些指标是最重要的？

刘志诚：针对不同的安全管理要求和安全运营要求，所关注的指标也各不相同。从管理角度来看，对于策略控制类的管理平台，更多需要关注其是否符合相应的标准规范和检测点。其次，产品的覆盖度很重要，无论是资产管理还是分类分级，都需要覆盖到企业所有的资产、事件、检测和策略。

从能力角度来看，首重检测率，即降低误报、漏报等是关键。当然，随着大模型的普及，通过语义检测来提升相应的能力也是关键指标之一。

话题六：数据安全产品的哪些方面可以被AI赋能？

刘德林：除了分类分级外，AI更多会应用到对运营的支撑，其包括网络安全、告警降噪、预警分析、威胁建模等。在数据安全领域，观安信息建设了人机交互的智慧问答，观安信息从诸多运营的案例中总结出了相关的内容，并通过大模型做出了语义上的精确转换，可为企业一线、二线的运营人员提供从基础知识到高级研判的问答服务。

此外，在支撑运营方面，观安信息还具备大量的报告。观安信息从各种文档中抽取出了相关的语言，并针对报告中的关键指标、安全事件进行了研判，以形成针对性的建议和改进措施，可为企业运营团队解构报告、梳理内容，同时反向形成标准的报告模板，帮助运营团队进行报告的编写。

检测分析方面，观安信息数据安全产品可根据业务场景脉络形成相关的异常分析，抽取异构数据提取其数据特征，最后结合观安信息独有的算法和大模型，对告警和风险进行相关的分析，并做出深入的问答。

在搜索强化方面，观安信息同样使用到了AI对其赋能。无论是搜索信息化的安全资产，还是做数据安全的资产检索，观安信息都可通过其检索模型做出快速响应。此外，该功能在做实质的告警研判时特别有效。

话题七：对甲方企业来说，数字资产能否清点明确？数据安全管理的痛点在哪儿？

黄鹏华：只能理清重点数字资产，其他一些数字资产可能会因为各种各样的历史遗留原因而无法顾及，在这样的情况下，我们可以借助数据分类分级工具，对其进行扫描，做到尽量盘全。资产梳理的核心在于建立起完整的运营模式，只有循序渐进才能达到最好的效果。

对于数据安全管理来说，其最大的痛点在于“难以体现价值”，即安全部门哪怕花了大量的时间和人力，也难以保证企业在数据安全方面就一定合规，有许多要求需要进一步完善。

此外，企业想要知晓数据流向也是痛点之一，即数据从数据库流出之后会经过哪些系统，对此流向的了解可帮助安全团队防止数据泄漏。但从具体实践来看，想要做到这点，前期的投入会很大，比如若告警设置不当，整个流向信息都会受到极大的影响。

话题八：采购或使用数据安全产品时遇到过哪些坑？该如何避坑？

刘志诚：由于数据资产具备可复制性和可转移性，因此传统的网络安全方法无法保障数据资产的安全。比较典型的场景就是在企业运营时，往往会忽略和第三方合作伙伴的交互过程，用短信收发企业关键信息就是最好的例子，一旦被黑灰产拿到此类数据，就会引发严重的电信诈骗或网络钓鱼。

其次，从安全体系的建设角度来看，由于安全体系建设往往是点到点的安全控制，加密、审计、脱敏等，其无法对整个数据流的完整过程进行对应的管控，也就是说企业若想对数据流动的每一个环节都做好监控和控制，只通过某个数据安全产品，是无法保障整条数据链安全的。比如结构化数据和非结构化数据之间会进行转换，而此转换过程无法只通过某个结构化数据安全工具或非结构化数据安全工具来做到完整的防护。

第三，合规层面的数据资产分类分级和企业的风险控制措施存在对接问题，即分类分级无法和业务系统的数据生产、数据运转一一对应，所以企业的控制措施也很难和分类分级的结果做出应用和关联。

针对短信收发问题，企业可以做好事前准入的机制，比如对供应商做出审计，包括其内部的系统安全、安全管理体系、安全资质等；之后可以和供应商签订服务安全协议，根据协议，如果发现供应商存在相应的问题，就可以给予一些惩罚措施，保障双方的权益；同时，在事中企业可以做好运营的过程，比如分散发送短信的通道以跟踪相应的风险，若某通道的运营商确实存在安全风险，企业可让其提交内部排查和整改措施。当然，如果整改后该运营商仍旧处于风险高位，那企业就可以暂停相关的业务合作。

话题九：未来，数据安全产品的核心是什么？

刘德林：随着越来越多的企业会用内部数据训练自己的大模型，做行业化的深化应用，因此如何保护内部训练数据会成为企业主要的需求点，这也是数据安全产品的核心所在；其次，基于大数据平台的保护也是趋势之一，因为大中型企业越来越多地会将业务数据、生产数据、数据服务放在大数据平台上，所以基于这些数据存储的数据分析和防护，将会是数据安全产品的重点领域。

话题十：在数据安全方面，有什么想呼吁的地方？

刘志诚：既然监管的目的是对权利的保护，以及对义务实施的监管，那在此过程中就不要对甲方具体使用的解决方案进行限制，比如在电子签名方面，不要规定甲方必须使用RSA的算法或非对称的密钥。

对于厂商而言，首先大多数的数据安全产品只能针对某个点，比如针对终端、针对邮件网关、针对网络、针对非结构化数据、针对结构化数据，其难以将这些点串联起来，因此也就无法满足甲方企业在整个数据安全上的治理目的；其次，厂商为了保持竞争力，避免核心能力的外泄，通常不愿开放接口，因此也就很难和运营平台进行对接，不开放、不兼容导致安全能力无法串联，这在甲方看来是最可惜的弊病，也是最大的需求。

刘德林：关于乙方厂商之间如何开放接口，这在大型甲方机构中得到过解决，比如把标准化的透明水印、加密等能力，通过SDK API的方式进行解耦，释放出去。此过程涉及到了格式的统一和规范化，而大型机构会采取将内部安全能力建设成安全能力资源池或通过公有云为中小企业提供安全能力服务。当然，也有大型机构会建设统一的安全数据底座，就是将数据日志的采集统一收取、统一做分析，不管是审计、态势，还是数据运营，数据底座始终是同一个。

而最好的解决方案是由监管层面比如工信部，牵头推动此事的落地。

关于之后数据安全的发展趋势，更多会集中在数据沙箱、数据空间等数据交易环节。而从各行业来看，智慧农业、天气预报等自然数据会产生更大的价值，因此在这些领域中的数据安全防护会成为今后主要的趋势。

RECOMM